Los ataques al «eslabón más débil» de Internet no cesan.

La nueva información sobre amenazas de F5 Labs ha puesto de manifiesto la creciente vulnerabilidad de un lenguaje de programación utilizado en más del 80% de los sitios web del mundo.

Según Loryka, socio de datos de F5 Labs, el 81% del tráfico malicioso monitorizado en la naturaleza en 2018 estaba relacionado con PHP. Esto representa un aumento del 23% en comparación con 2017. El monitoreo se centró en las campañas de reconocimiento inicial que buscan superficies de administración para comprometer como parte de una cadena de ataque más amplia.

En la primera entrega del Informe de Protección de Aplicaciones 2019 de F5 Lab, la investigación también señala que PHP representó el 68% de todos los exploits publicados en 2018 en la base de datos de exploits.

«El volumen y la naturaleza implacable de los exploits de PHP son alarmantes pero no sorprendentes», dijo Sander Vinberg, Evangelista de Investigación de Amenazas, F5 Labs.

«Basándonos en nuestra investigación, predecimos que seguirá siendo uno de los eslabones más débiles de Internet y una de las superficies de ataque más amplias en el futuro inmediato».

Como parte de su análisis, F5 Labs también arrojó luz sobre tácticas específicas de ataque a PHP.

Los sensores de Loryka identifican los intentos de conexión y capturan datos como la IP de origen y la URL de destino. Los atacantes suelen recorrer miles de millones de objetivos en busca de oportunidades para atacar, por lo que el dominio o la dirección IP de destino no son significativos. Sin embargo, la mitad posterior de la URL de destino contiene el archivo o la ruta de destino. Esta es la ubicación específica en un servidor web que el atacante está apuntando a través de todas sus IPs objetivo. También revela mucho sobre los objetivos y las tácticas del atacante.

Por ejemplo, Loryka observó que una gran parte del tráfico se centraba en sólo siete rutas o nombres de archivo. Los siete se utilizan habitualmente para gestionar phpMyAdmin (también conocido como PMA), que es una aplicación web de PHP utilizada para gestionar bases de datos MySQL.

El 42% de los 1,5M de eventos únicos dirigidos a más de 100.000 URL diferentes tenían como objetivo una de las siguientes:

www.example.com/PMA2011/
www.example.com/pma2011/
www.example.com/PMA2012/
www.example.com/phpmyadmin3/
www.example.com/pma2012/
www.example.com/phpmyadmin4/
www.example.com/phpmyadmin2/

El volumen de tráfico dirigido a estas rutas resultó ser casi idéntico de una ruta a otra, con menos de un 3% de diferencia entre el volumen más y el menos frecuente. El calendario de las campañas dirigidas a estas rutas también fue casi idéntico, con un pico de tráfico coordinado.

En una inspección más detallada, F5 Labs descubrió que el 87% del tráfico dirigido a las rutas comunes de phpMyAdmin procedía de sólo dos IPs de las 66.000 IPs que golpeaban los sensores de Loryka. Estas dos IPs representaron el 37% de todo el tráfico monitoreado en 2018. Todo el tráfico procedente de las IPs comprometidas apuntaba a las siete rutas PMA. Ninguna otra IP igualó este volumen de tráfico o replicó sus patrones, incluso cuando se dirigió a las mismas rutas.

Curiosamente, las dos IPs provenían de sistemas basados en un campus universitario norteamericano.

«Básicamente, los actores desconocidos utilizaron un pequeño número de sistemas comprometidos en redes universitarias para buscar objetivos específicos: bases de datos MySQL antiguas y probablemente descuidadas con una autenticación débil», explicó Vinberg.

«Estos actores han definido un estrecho conjunto de parámetros de objetivos, pero están escaneando toda la web desde un pequeño número de direcciones, y no se esfuerzan demasiado por cubrir sus huellas». Teniendo en cuenta que la inyección SQL fue el ataque más común a PHP, parece que el panorama de amenazas va a ser similar este año.»

Vinberg añadió que mitigar el riesgo de este tipo de campañas debería ser relativamente sencillo, siempre que los propietarios de los sistemas sean conscientes de lo que hay en su red.

«Poner en la lista blanca las páginas de autenticación para las superficies de los administradores es una manera fácil de evitar que una campaña de reconocimiento de esta naturaleza se intensifique», dijo.

«Un programa robusto de control de acceso con contraseñas fuertes o autenticación multifactorial también mitigaría el riesgo de relleno de credenciales o escalada de una campaña de phishing que podría seguir a las actividades de reconocimiento.»

El análisis de PHP de F5 Lab es el primer capítulo del Informe de Protección de Aplicaciones 2019. A lo largo del año se publicarán más entregas.